Ret og Indsigt 2024-1 - Flipbook - Side 7
Ret & Indsigt 1 | 2024 7
samfundets interesse eller udførelse af
en opgave som del af offentlig myndighedsudøvelse. Der vil dog i disse
situationer være krav om yderligere
retligt grundlag for behandlingen i
EU-retten eller dansk ret, fx serviceloven eller sundhedsloven.
Kravene til den danske lovs klarhed og
præcision skal vurderes i forhold til
formålet med at bruge AI, og dermed
hvordan borgerens rettigheder påvirkes under udviklingen og brugen af AI.
Jo mere indgribende behandlingen er,
jo klarere og mere præcist et retsgrundlag kræves.
Som en tommelfingerregel er brugen
af personoplysninger i udviklingsfasen
mindre indgribende over for borgere
end brugen af personoplysninger i
driftsfasen, der forventeligt genererer
forudsigelser og anbefalinger, som
potentielt kan påvirke borgerens livssituation. Desuden anses brugen af AI til
mere generelle myndighedsopgaver,
uden direkte involvering af borgere,
som mindre indgribende.
Forskellen på kravene til de retlige
grundlag i de forskellige faser illustreres ved en udtalelse fra Datatilsynet
(journalnummer 2023-212-0015) om
en kommunes brug af AI som støtte i
afgørelser om vedligeholdende træning og rehabiliterende indsats efter
serviceloven. Datatilsynet vurderede,
at kommunen havde det nødvendige
retlige grundlag til at udvikle og gentræne en specifik AI, som behandlede
personoplysninger. Dette skyldtes, at
behandlingen kunne finde sted inden
for rammerne af serviceloven, som
pålagde kommunen at træffe beslutninger om vedligeholdende træning
og rehabiliterende indsats.
Behandling af personoplysninger i forbindelse med løsningens drift kunne
imidlertid ikke ske inden for de nævnte
bestemmelser, da der manglede et
klart retsgrundlag, særligt i lyset af
behandlingens indgribende karakter.
AI kunne potentielt have en væsentlig
indflydelse på borgernes liv. Desuden
kunne det ikke nødvendigvis anses
som forudsigeligt og gennemsigtigt
for borgerne, at deres behov blev vurderet af AI, især når målgruppen var
sårbare borgere. Det var derfor nødvendigt med et klart, supplerende
(nationalt) retsgrundlag, for at
behandlingen kunne være i overensstemmelse med databeskyttelsesforordningen.
Det er desuden væsentligt at foretage
en proportionalitetsvurdering, som sikrer, at databehandlingen er egnet,
nødvendig og forholdsmæssig i forhold til de fastsatte formål. Øvrige
databeskyttelsesretlige principper skal
også overvejes, fx dataminimering, formålsbestemthed og ajourføring af
oplysninger.
3.
Konsekvensanalyse
I de fleste tilfælde vil det som
følge af teknologien, omfanget af personoplysninger, deres karakter og målgruppen være relevant at lave en konsekvensanalyse. Behandling af personoplysninger i forbindelse med AI har
altså en potentiel høj risiko for at
påvirke borgerens rettigheder og frihedsrettigheder. I konsekvensanalysen
skal anføres overvejelserne i forbindelse med 2. step (ovenfor).
Konsekvensanalysen skal som minimum indeholde en systematisk beskrivelse af den planlagte behandling af
personoplysninger og formålet med
den. Desuden skal man beskrive vurderingen af nødvendighed og proportionalitet. Man skal også evaluere risici
for borgernes rettigheder og frihedsrettigheder og beskrive, hvilke tiltag
(foranstaltninger) man har iværksat
for at imødegå disse risici.
Konsekvensanalysen bidrager til at
dokumentere, at databeskyttelsesretten bliver overholdt.
5.
Overvej de registreredes
rettigheder fra start
En borger har ret til indsigt og til at
blive informeret om behandlingen af
personoplysninger (oplysningspligten),
herunder når der sker ændringer i
behandlingen og/eller formålet hermed.
Der gælder et særligt krav til oplysningspligt i indsigtsafgørelser, hvis
brug af AI kan karakteriseres som en
automatisk afgørelse eller profilering. I
sådanne tilfælde skal man som minimum give (meningsfulde) oplysninger
om logikken i AI samt betydningen og
de forventede konsekvenser for borgeren af at behandle oplysningerne i
AI.
Kom godt fra start
Succes med implementering af AI
afhænger af, om processen gribes rigtigt an, og at der sikres rettidig inddragelse af alle relevante kompetencer,
herunder tekniske, operationelle og
juridiske. Det er særlig væsentligt at
indtænke databeskyttelse allerede fra
begyndelsen dit AI-projekt.
4.
Overvej datakvalitet, databrug mv.
Data er brændstoffet i AI, og hvis AI
skal køre langt og sikkert, skal den
bruge data af god kvalitet og i tilstrækkeligt omfang.
Man kan understøtte god datakvalitet
ved at være opmærksom på konteksten for den oprindelige indsamling af
oplysningerne. Man kan også sikre
kvaliteten ved at implementere AI på
et begrænset datasæt i et kontrolleret
miljø for at identificere eventuelle
svagheder eller fejl i data. Efter implementeringen skal man løbende overvåge outputtet for at sikre, at det forbliver retvisende.
Det anbefales at anvende anonymiserede data eller syntetiske data. Bemærk,
at hensyn til omkostninger ikke alene
kan begrunde fravalg af brug af anonymiserede data. Hvis det i et konkret
tilfælde er nødvendigt at behandle
personoplysninger, bør man tilstræbe
at pseudonymisere oplysningerne.
Anne Baandrup
Partner, advokat
ana@horten.dk
Jens Grønkjær Sjølander Pihl
Partner, advokat
jsp@horten.dk
Emilie Loiborg
Director, advokat
elo@horten.dk